Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 13 juni 2025

Accountovernamecampagne 'UNK_SneakyStrike' maakt misbruik van pentesting tool TeamFiltration

Beveiligingsonderzoekers van Proofpoint hebben een actieve accountovernamecampagne ontdekt, genaamd UNK_SneakyStrike, die misbruik maakt van de populaire pentesting tool TeamFiltration om gebruikersaccounts van Microsoft Entra ID (voorheen Azure Active Directory) te compromitteren. Sinds december 2024 zijn meer dan 80.000 accounts bij honderden organisaties getroffen, wat in verschillende gevallen heeft geleid tot succesvolle accountovernames.

Cybercrime Hacker Security Cybersecurity
Accountovernamecampagne 'UNK_SneakyStrike' maakt misbruik van pentesting tool TeamFiltration image

TeamFiltration is oorspronkelijk ontwikkeld als een legitiem framework voor penetratietesten en risico-evaluatie van Office 365 Entra ID-omgevingen. De tool, openbaar gemaakt in 2021, automatiseert tactieken zoals accountenumeratie (het identificeren van geldige gebruikersaccounts), password spraying (het proberen van veelvoorkomende wachtwoorden op meerdere accounts) en data-exfiltratie. Helaas, zoals vaker gebeurt met dit soort tools, wordt TeamFiltration nu ingezet voor kwaadwillende activiteiten.

Werkwijze van de aanvallers 

De aanvallers achter UNK_SneakyStrike gebruiken de Microsoft Teams API en Amazon Web Services (AWS) servers in diverse geografische regio's om hun aanvallen uit te voeren. Door het gebruik van verschillende AWS-regio's proberen ze detectie te bemoeilijken. Naast het bemachtigen van accounttoegang, exploiteren de aanvallers ook de toegang tot specifieke Microsoft-resources en native applicaties, waaronder Teams, OneDrive en Outlook, om gevoelige gegevens te exfiltreren en persistentie te verkrijgen.

Detectie door Proofpoint 

Proofpoint's dreigingsonderzoeksteam wist de activiteiten van TeamFiltration te detecteren en te volgen door te zoeken naar unieke kenmerken. Hieronder vallen een zeldzame user agent die gekoppeld is aan een verouderde versie van Microsoft Teams, pogingen tot toegang van specifieke aanmeldapplicaties vanaf incompatibele apparaten (wat duidt op user agent spoofing), en een correlatie met specifieke applicatie-ID's die zijn voorgeconfigureerd in de code van TeamFiltration. Deze applicaties behoren tot een groep Microsoft OAuth clientapplicaties die speciale 'family refresh tokens' kunnen verkrijgen, welke vervolgens kunnen worden gebruikt voor toegang.

Omvang en Impact 

De toename van loginpogingen via TeamFiltration begon in december 2024 en bereikte een piek in januari 2025. De aanvallen kenmerken zich door geconcentreerde, korte uitbarstingen die een breed scala aan gebruikers binnen een enkele cloudomgeving targeten, gevolgd door rustigere periodes van ongeveer vier tot vijf dagen. De primaire geografische bronnen van deze kwaadwillende activiteiten zijn de Verenigde Staten (42%), Ierland (11%) en Groot-Brittannië (8%).

Proofpoint verwacht dat cybercriminelen in toenemende mate geavanceerde inbraaktools en platforms zoals TeamFiltration zullen gebruiken, naarmate minder effectieve inbraakmethoden minder succesvol blijken. Organisaties worden geadviseerd extra waakzaam te zijn en beveiligingsmaatregelen te versterken.

DIC Security Day BW tm 1 juli 2025 Veeam 10/06/2025 t/m 01/07/2025 BN + BW

Dutch IT events

Event icon

Event

SAIL 2025

Event icon

Event

Dutch IT Security Day

Alle events
DIC Security Day BN + BW tm 1 juli

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.